使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚

使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚编辑

识别何时使用外部证书颁发机构创建 AWS IAM Roles Anywhere 信任锚。AWS Roles Anywhere 配置文件是管理员可以创建的合法配置文件，允许从任何位置访问。此规则检测何时使用 AWS Certificate Manager 私有证书颁发机构 (ACM PCA) 未管理的外部证书颁发机构创建信任锚。攻击者可能会完成此操作以在环境中保持持久性。

规则类型：查询

规则索引:

filebeat-*
logs-aws.cloudtrail-*

严重性：中等

风险评分: 47

运行间隔：10 分钟

搜索索引范围：now-30m（日期数学格式，另请参阅 其他回溯时间）

每次执行的最大警报数: 100

参考:

标签:

域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS IAM
用例：身份和访问审计
策略：持久性

版本: 1

规则作者:

Elastic

规则许可证：Elastic License v2

调查指南编辑

分类和分析

调查使用外部 CA 创建的 AWS IAM Roles Anywhere 信任锚

此规则检测何时使用外部证书颁发机构创建 AWS IAM Roles Anywhere 信任锚。AWS Roles Anywhere 配置文件是管理员可以创建的合法配置文件，允许从任何位置访问。此规则识别何时使用 AWS Certificate Manager 私有证书颁发机构 (ACM PCA) 未管理的外部证书颁发机构创建信任锚。攻击者可能会完成此操作以在环境中保持持久性。

可能的调查步骤

识别操作者：查看 aws.cloudtrail.user_identity.arn 和 aws.cloudtrail.user_identity.access_key_id 字段以识别谁进行了更改。验证此操作者是否通常执行此类操作以及他们是否具有必要的权限。
查看请求详细信息：检查 aws.cloudtrail.request_parameters 以了解信任锚创建的具体详细信息。查找任何可能表明未经授权或恶意修改的异常参数。
分析请求来源：调查 source.ip 和 source.geo 字段以确定请求的地理来源。外部或意外位置可能表明凭据遭到泄露或未经授权的访问。
使用时间戳进行上下文分析：使用 @timestamp 字段检查信任锚的创建时间。非营业时间或定期维护窗口之外的更改可能需要进一步审查。
与其他活动相关联：搜索此更改前后相关的 CloudTrail 事件，以查看同一操作者或 IP 地址是否参与了其他潜在的可疑活动。
验证证书颁发机构：确保使用的外部证书颁发机构是经过授权和认可的。未经授权的外部 CA 可能是恶意活动的危险信号。

误报分析

合法的管理操作：确认信任锚创建是否与更改管理系统中记录的计划更新、开发活动或合法管理任务一致。
一致性检查：将操作与用户或组织内执行的类似操作的历史数据进行比较。如果该操作与过去的合法活动一致，则可能表明是误报。
通过结果验证：检查 aws.cloudtrail.response_elements 和 event.outcome 以确认创建是否成功以及是否符合策略预期。

响应和修复

立即审查并在必要时撤销：如果创建未经授权，请删除信任锚并撤销任何关联的权限。
增强监控和警报：调整监控系统以对类似操作发出警报，尤其是那些涉及使用外部证书颁发机构创建信任锚的操作。
教育和培训：为具有管理员权限的用户提供关于 IAM Roles Anywhere 和证书颁发机构使用安全最佳实践重要性的额外培训。
审计 IAM 角色和策略：对所有 IAM 角色和关联策略进行全面审计，以确保它们遵循最小权限原则。
事件响应：如果有恶意企图或安全漏洞的迹象，请启动事件响应协议以减轻任何损害并防止未来发生。

其他信息

有关管理 IAM Roles Anywhere 和保护 AWS 环境的进一步指导，请参阅 AWS IAM Roles Anywhere 文档和 AWS 安全最佳实践。此外，有关 IAM 角色和信任锚的具体详细信息，请参阅以下资源：- AWS IAM Roles Anywhere 简介 - Ermetic 博客关于 IAM 用户和第三方

规则查询编辑

event.dataset: aws.cloudtrail
    and event.provider: rolesanywhere.amazonaws.com
    and event.action: CreateTrustAnchor
    and event.outcome: success
    and not aws.cloudtrail.request_parameters: *sourceType=AWS_ACM_PCA*

框架：MITRE ATT&CK^TM

策略
- 名称：持久性
- ID：TA0003
- 参考 URL：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：帐户操纵
- ID：T1098
- 参考 URL：https://attack.mitre.org/techniques/T1098/
子技术
- 名称：其他云角色
- ID：T1098.003
- 参考 URL：https://attack.mitre.org/techniques/T1098/003/

« AWS IAM Roles Anywhere 配置文件创建将 AWS IAM 用户添加到组 »